Souvenez-vous, il y a quelques années, vous n’aviez que quelques mots de passe à retenir et même parfois vous mettiez le même partout. Mais maintenant c’est fini, le monde est devenu dangereux, surtout le monde “cyber”.

Mais que s’est-il passé ? Je me souviens qu’on disais juste de ne pas mettre les mots de passe ridicule du genre 12345, motdepasse, ou sa date de naissance ou son prénom. Mais on faisait confiance au chiffrement des transactions. On faisait confiance à la sécurité des serveurs. Tout juste se méfiait-on de ne pas mettre les numéros de carte bancaire chez n’importe qui. On a eu des moyens de paiement sécurisés évitant cela mais toujours les même comptes client. Les boutiques se sont multipliées tout comme les réseaux et autres services. Bientôt la facilité à été de mettre le même mot de passe partout et donc d’ouvrir une grosse faille. Le web est devenu réellement mondial et grand public. Quand les bonnes pratiques de sécurité étaient connues des initiés, elles ne l’étaient pas de ces nouveaux arrivants qui se firent arnaquer de toute part. De là de nombreuses protections dans tous les sens. Et puis les robots se sont généralisés pour scanner les failles, chercher des données. Les virus se sont propagés sous différentes formes, du cheval de troie au malware en passant par le script. Le Web révé des débuts n’est devenu finalement qu’un reflet chaotique du monde réel, un nouveau far west parfois.

J’avoue, pendant longtemps j’avais juste une poignée de mots de passe. Il ne me venait pas à l’esprit qu’on piraterait mon compte de forum ou de réseau social pour mettre n’importe quoi. Je m’assurais juste que ceux liés à l’administratif et au bancaire seraient compliqués et différents. Puis j’ai mis en place du mnémotechnique, du ciblé selon le site, l’utilisation. J’utilisais la mémoire du navigateur pour tout retenir…Et puis c’est devenu fragile et dangereux donc je suis passé au gestionnaire de mot de passe. Jusqu’à en générer des compliqués. En plus au boulot, on me demande d’en changer régulièrement maintenant. Et maintenant on me demande d’avoir un moyen d’authentification, de ne plus se contenter d’un mot de passe. C’est le fameux 2FA ou 2 factor authentification. Idem pour le moindre achat en ligne qu’on doit confirmer via une application ou un sms. Et maintenant ce sont tous les comptes bancaires, d’énergie, d’impots qui font l’objet d’une double authentification. Dernièrement, des médecins et infirmiers se font pirater leur compte pro sur Ameli. Plus rien n’est sûr. J’ai eu deux piratages de boite mail dans toute cette existence, parce que c’était une passoire au niveau du serveur. J’en viens à changer tout régulièrement.

Leonard de Vinci, etude sur Marie Madeleine

Et le comble dans tout ça, ce sont les solutions trouvées. On passe par un SMS avec un code à usage unique. Soit mais il ne faudra pas oublier de changer son numéro partout si on ne le garde pas en changeant d’opérateur. On passe par un mail de confirmation, bof. Mais Google a fait plus fort en t’envoyant une notification sur un de tes smartphones qui va te demander de cliquer sur le bouton OUI. Sauf que cette p… de notification ne fonctionne pas correctement sur les smartphones de plus de 3 ans, le bouton ne réagissant pas. On a des champions ! Et sinon tu as encore des codes de secours, des chiffres, des lettres, des clés, etc…Oui, comme pour nos maisons où l’on a rajouté des systèmes d’alarme, des serrures quadruple point, on n’arrête pas de rajouter et rajouter des sécurités. J’attends impatiemment la triple authentification. Sachant qu’une rétine ou une empreinte n’est pas totalement fiable non plus. Une analyse ADN instantanée, alors ? Ne riez pas, je suis sûr qu’un labo de la silicon valley est sur le sujet.

Pourquoi tout ça me dérange ? J’ai mis aussi en place des backups de documents sur certains sites officiels, notamment via Cozy… Voilà qu’avec toutes ces double-identifications ce n’est plus possible. Soit il n’y a rien de prévu, soit il faut régulièrement prouver l’identité du serveur et son application qui vont récupérer les données pour vous. Alors si, j’ai trouvé une solution en passant par Digiposte qui semble avoir un accord privilégié pour certains services. Et encore, ça bugue puisqu’il manque des documents. Ce qui était une sécurité devient une corvée et une faille. Je vais finir par mettre en place des rappels de calendrier pour aller sauvegarder tous les documents sur ces organismes, à la pogne. Déjà que personne ne pense aux backups, alors si en plus on fait tout pour les empêcher. Et puis chez le grand manitou Google, on a des notifications dès qu’on se connecte ailleurs, on doit prouver avec des codes mais parallèlement à ça, pour des applications tierces, il faut créer un code unique qui remplace le mot de passe mais qui ne regarde pas du tout la provenance de la connexion, l’application ou l’OS. Absurde. Mais comment en est-on arrivé là ?

En fait c’est le syndrome des murs, propre à l’humain. Dans certaines grandes villes, les riches aiment à se créer de petits espaces murés avec des gardiens, dans lesquels ils vivent entre eux, de peur qu’on les détrousse…ce qui est réel, par exemple au Brésil. En Europe, les murs fleurissent contre les migrants et on se réjouit d’avoir des mers autour de nous dans lesquelles les laisser se noyer. Et donc, pour le web, c’est devenu pareil : Chaque site se construit son propre mur, sans même penser que l’utilisateur a besoin de passer d’un endroit à l’autre avec un trousseau de clé qui ne tiendrait même plus dans le coffre d’une voiture si c’était dans la vie réelle. Nous avons fini par créer notre propre cauchemar, notre chaos virtuel, parce que celui bien réel que nous continuons à construire ne nous suffisait plus. On voit fleurir des protections DDOS de Cloudflare qui prennent des plombes, des Captcha pour se protéger des commentaires malveillants, et qui eux-même deviennent malveillants. On utilise des VPN on utilise TOR pour se protéger de ceux qui nous espionnent. Mais en même temps on se protège aussi de ceux qui utilisent TOR pour nous agresser. Et puis parfois, la protection 2FA ou protection à 2 facteurs, est imposée, comme ce qui est arrivé à Lord.

On dit que l’enfer est pavé de bonnes intentions mais nous avons réussi l’exploit de créer un sacré bel enfer. On a même vu des applications de double authentification devenir des troyens. Cela vient encore prouver que l’humain est une espèce néfaste et auto-destructrice. Je sais, ça peut paraître simpliste de penser cela mais au moment de trouver comment sortir de ce piège que nous avons créé, on ne voit qu’un retour à de la simplicité, qu’une décroissance dans les moyens, une désescalade. C’est effectivement comme une guerre où les armes toujours plus puissantes répondent à d’autres armes toujours plus puissantes. J’avais par exemple trouvé une boutique qui s’était mis simplement au En Ligne avec des moyens d’un autre temps, sans déployer de site complexe. Mais la loi, les normes l’empêchent aussi et poussent à une uniformité. Qui dit uniformité dit risque sécuritaire. Bref, parfois je me demande si je ne vais pas plus me “dénumériser”, soit bien plus que la déconnexion que fait Ploum cette année (et qu’il a abandonné en partie). Mais là aussi, c’est peine perdu quand on continue à dématérialiser sans réfléchir aux conséquences matérielles, humaines. Nous n’avons pas fini d’en parler et je suis curieux d’avoir des commentaires et témoignages.

Bande son le W